Internet Census 2012: Datenanalyse

Größe: px

Ab Seite anzeigen:

Download "Internet Census 2012: Datenanalyse"

Gitta Simen
vor 8 Jahren
Abrufe

1 Internet Census 2012: Datenanalyse Robert Gleixner und Felix Engelmann Lehrstuhl für Netzarchitekturen und Netzdienste Fakultät für Informatik Technische Universität München 13. Januar 2014 Robert Gleixner und Felix Engelmann: Internet Census 2012: Datenanalyse 1

2 Gliederung 1 Motivation 2 Daten 3 Traceroutes 4 Serviceprobes 5 Scans Robert Gleixner und Felix Engelmann: Internet Census 2012: Datenanalyse 2

3 Motivation Internet Census 2012 Kartographie des Internets Autor unbekannt CARNA Botnetz durch Telnet ( 420k) CSV-Dateien mit ZPAQ (568GB 9TB) Authentizität Analyse und Interpretation Internet in Zahlen Vergleich der Infrastruktur Sicherheitskritische Aspekte Skills in Datenaufbereitung / -visualisierung Robert Gleixner und Felix Engelmann: Internet Census 2012: Datenanalyse 3

4 Daten (1/2) ICMP Ping 52 Milliarden 1,8 TB (81,6GB ZPAQ) Reverse DNS 10,5 Milliarden 366 GB (16,3GB ZPAQ) Serviceprobes 180 Milliarden 5,5 TB (374,5GB ZPAQ) Hostprobes 19.5 Milliarden 771 GB (27,9GB ZPAQ) Robert Gleixner und Felix Engelmann: Internet Census 2012: Datenanalyse 4

5 Daten (2/2) Synscans 2,8 Milliarden 435 GB (63,5GB ZPAQ) TCP IP Fingerprints 80 Millionen 50 GB (1,3GB ZPAQ) IP ID Sequence 75 Millionen 2,7 GB (155MB ZPAQ) Traceroutes 68 Millionen 18 GB (1,9GB ZPAQ) Robert Gleixner und Felix Engelmann: Internet Census 2012: Datenanalyse 5

6 Traceroutes Traceroutes kleinster Datensatz (18GB) Quell- / Ziel-IP Hops Auswertung mit MonetDB (Geographie und ASN) Auffinden der Quellen innerhalb der Routen 33 innerhalb /12 Fehlkonfiguration? 4 sonstige (2 aktiv) keine Router (rdns) Robert Gleixner und Felix Engelmann: Internet Census 2012: Datenanalyse 6

7 Serviceprobes (1/11) Überblick großer Datensatz 180 Milliarden 5,5TB (374,5GB ZPAQ) Geographische Auflösung durch Maxmind Python >> MonetDB effiziente Auswertung der sortierten Daten GeoIP-Datenbank im RAM (binäre Suche) Ausgabe und Abbruch!!! cat sort uniq Kartenerstellung mit R (rworldmaps) Robert Gleixner und Felix Engelmann: Internet Census 2012: Datenanalyse 7

8 Serviceprobes (2/11) Internetbenutzung weltweit IP Adressen pro Einwohner Robert Gleixner und Felix Engelmann: Internet Census 2012: Datenanalyse 8

9 Serviceprobes (3/11) Verteilung der Adressblöcke Robert Gleixner und Felix Engelmann: Internet Census 2012: Datenanalyse 9

10 Serviceprobes (4/11) NTP NTP / 123 TCP pro IP 1.14e e e e e e Robert Gleixner und Felix Engelmann: Internet Census 2012: Datenanalyse 10

11 Serviceprobes (5/11) DNS DNS / 53 TCP u. 53 UDP pro IP Robert Gleixner und Felix Engelmann: Internet Census 2012: Datenanalyse 11

12 Serviceprobes (6/11) DNS - Protokolle TCP UDP beide Robert Gleixner und Felix Engelmann: Internet Census 2012: Datenanalyse 12

13 Serviceprobes (7/11) Telnet Telnet / 23 TCP pro IP 4.81e Robert Gleixner und Felix Engelmann: Internet Census 2012: Datenanalyse 13

14 Serviceprobes (8/11) HTTP HTTP / 80 TCP pro IP Robert Gleixner und Felix Engelmann: Internet Census 2012: Datenanalyse 14

15 Serviceprobes (9/11) Webserver - ohne SSL Web Server exklusiver Anteil von HTTP Robert Gleixner und Felix Engelmann: Internet Census 2012: Datenanalyse 15

16 Serviceprobes (10/11) SSL - v1 HTTPS Server exklusiver Anteil von SSLv Robert Gleixner und Felix Engelmann: Internet Census 2012: Datenanalyse 16

17 Serviceprobes (11/11) SSL - v2+ HTTPS Server exklusiver Anteil von SSLv Robert Gleixner und Felix Engelmann: Internet Census 2012: Datenanalyse 17

18 Schwächen des InternetCensus Dauer ( mehrere Monate ) Zensus Ungewissheit über Aufnahme Alter 2012 von Anja Feldmann qualitative analysis Robert Gleixner und Felix Engelmann: Internet Census 2012: Datenanalyse 18

19 Scans Motivation Kurze Dauer ( 3 Tage) Bekannte Methodik (probes) aktuell (Dez. 2013) ssh root@carna-c&c Permission denied, please try again. weil es trotzdem geht! Robert Gleixner und Felix Engelmann: Internet Census 2012: Datenanalyse 19

20 Entwicklung seit 2012 gleiche Dienste auf gleicher IP Ossification Trends Sicherheit Protokolle Ausbau des Internets Robert Gleixner und Felix Engelmann: Internet Census 2012: Datenanalyse 20

21 Methodik nmap merkt sich status von TCP timeout retransmission RST freundlich zmap 1300x schneller stateless sender receiver thread Sequenznummer SYN Cookie keine retransmission Gigabit 1,5Mp/s Probe Response Times Why does ZMap find more hosts than Nmap? 250 ms timeout 500 ms timeout /0 in 45 Minuten ZMap: Fast Internet-Wide Scanning and its Security Applications Respons 250 ms 500 ms 1.0 s: 8.2 s: von Alex Halderman Statelessness leads zmap to both higher performance and in Robert Gleixner und Felix Engelmann: Internet Census 2012: Datenanalyse 21

22 zmap Probe Module Modularisiert modifizierbar Addressing Probes How do we randomly scan addresses without excessive state? UDP DNS Paket 1. Scan TCP hosts SYN Scan according to random permutation Randomisierter 2. Iterate over multiplicative Scan keinegroup Überlastung of integers der modulo Targets p 1 5 mod 7 = mod 7 = mod 7 = mod 7 = mod 7 = 2 Negligible State Status 1. Primitive Root Primitivwurzel 2. Current Location aktuelle Position 3. First Address erstes Element 2 5 mod 7 = 3 ZMap: Fast Internet-Wide Scanning and its Security Applications Robert Gleixner und Felix Engelmann: Internet Census 2012: Datenanalyse 22

23 Problem Quellnetzwerk Überlastungen Routing in AS56357 Scanner barwon bendigo Peering GW Peering DFN Internet White-/ Blacklist Routable Prefixes abuse Listen Robert Gleixner und Felix Engelmann: Internet Census 2012: Datenanalyse 23

24 Neuladen der Blacklist Beenden Signalhandler aktuellen Status ausgeben Neustart Parameter -y Seed fast-forward ohne Senden Robert Gleixner und Felix Engelmann: Internet Census 2012: Datenanalyse 24

25 DNS Scan UDP TCP RR A HTTP Seite mit Info für Abuse Blacklist SYN SYN ACK kein RST ServerSocket Timeout Robert Gleixner und Felix Engelmann: Internet Census 2012: Datenanalyse 25

26 Anzahl der DNS Server Zuwachs in neuen Internetregionen DNS Server Census vs Scan in Relation zum Census Robert Gleixner und Felix Engelmann: Internet Census 2012: Datenanalyse 26

27 Statische DNS Server Anzahl bei Census und Scan Aktuell erreichbare DNS Dienste des Census in Relation zum Census Robert Gleixner und Felix Engelmann: Internet Census 2012: Datenanalyse 27

28 Telnet Sicherheitskritische Systeme fehlerhaft konfigurierte Firewalls Supervisory Control and Data Acquisition (SCADA) Systeme (Boing 747 flying UNIX engine control) Analyse geolocation Städtegenau Robert Gleixner und Felix Engelmann: Internet Census 2012: Datenanalyse 28

29 Telnet Verschlechterte Situationen Telnet Dienste Scan vs Census > 100% in Relation zum Census Robert Gleixner und Felix Engelmann: Internet Census 2012: Datenanalyse 29

30 Telnet Deutschland Robert Gleixner und Felix Engelmann: Internet Census 2012: Datenanalyse 30

31 Zusammenfassung Entwicklung des Internets sichtbar Aufdeckung von Sicherheitslücken Verbreitung kein Botnet notwendig Annahme Internet ist sehr groß gilt nicht mehr zmap -p N Router mit Backdoor bei IPv6 nicht mehr so möglich Mehr Informationen Paper 30c3: Fast Internet-wide Scanning and its Security Applications (Halderman) Robert Gleixner und Felix Engelmann: Internet Census 2012: Datenanalyse 31

Ähnliche Dokumente

Grundkurs Routing im Internet mit Übungen

Grundkurs Routing im Internet mit Übungen Falko Dressler, Ursula Hilgers {Dressler,Hilgers}@rrze.uni-erlangen.de Regionales Rechenzentrum der FAU 1 Tag 4 Router & Firewalls IP-Verbindungen Aufbau von IP